The Autonomous
secunet Bericht zum Workshop „Safety & Security“ auf der "The Autonomous"-Konferenz
Im Workshop „Safety & Security“ sollte die Frage geklärt werden, wie die Sicherheit von hochautomatisierten oder autonomen Fahrzeugen in Zukunft gewährleistet werden kann. Oft liegt bei Gesprächen zu diesem Thema das Hauptaugenmerk auf der funktionalen Sicherheit von Selbstfahrfähigkeiten. Die IT-Sicherheit der Fahrzeuge und ihrer Kommunikation mit der Außenwelt findet weit weniger Beachtung, ist aber nicht weniger entscheidend und darf auf keinen Fall vernachlässigt werden.
Da selbstfahrende Autos eine Vielzahl von ein- und ausgehenden Kommunikationskanälen zur Infrastruktur, d. h. zu Server-Backends, oder zu anderen Fahrzeugen (Car2x) benötigen, um z. B. Sensor- oder Fahrdaten auszutauschen, hat sich die Angriffsfläche der Fahrzeug-IT erheblich vergrößert. Darüber hinaus benötigen viele der Kommunikationskanäle oder -geräte im Auto eine anspruchsvolle Software, was die Komplexität der beteiligten Technologien noch erhöht.
Um die IT-Sicherheit in allen Bereichen jetzt und in Zukunft zu gewährleisten, sind letztlich auch sichere Software-Updates und Krypto-Agilitätsstrategien erforderlich, die den Rechenkapazitäten der kommenden Jahrzehnte gewachsen sind. Um sicher und vertrauenswürdig zu sein, muss Datenaustausch zwischen Kommunikationspartnern, wie etwa zwischen verschiedenen Steuergeräten in einem Fahrzeug oder zwischen verschiedenen Fahrzeugen, dabei grob gesagt einige oder alle der folgenden Schutzziele erfüllen:
- Der Datenaustausch muss verschlüsselt sein („Vertraulichkeit“).
- Daten dürfen nicht verändert werden („Integrität“).
- Der Sender oder Empfänger der Daten muss sich authentifizieren („Authentizität“).
- Die Daten müssen bei Bedarf leicht verfügbar sein („Verfügbarkeit“).
Zusammen bilden diese Punkte die Grundlage für jede vertrauenswürdige Kommunikation. Diese Sicherheitsanforderungen wurden in den Vorträgen verschiedener Anbieter auf dem Gebiet des autonomen Fahrens im Rahmen des Workshops behandelt. Dabei standen folgende Punkte auf dem Programm:
- Vertrauen verwalten
- Vertrauen implementieren
- Vertrauen validieren
Erste Präsentation
Im ersten Vortrag gab Nils Abeling von secunet einen Überblick darüber, wie man mit Hilfe einer Public-Key-Infrastruktur (PKI) Vertrauen zwischen den Teilnehmern eines Netzwerks aufbauen und verwalten kann. Die Idee hinter diesem Konzept ist, dass es eine Hierarchie von Instanzen gibt, die Zertifikate für wichtige Teilnehmer im Netz ausstellen. Diese Zertifikate enthalten den öffentlichen Schlüssel (Public Key) eines öffentlich-privaten Schlüsselpaares und können für kryptographische Funktionen wie Signieren und Überprüfen, Ver- und Entschlüsseln und das Austauschen symmetrischer Schlüssel (Schlüsselaustauschalgorithmen) verwendet werden. Damit schließt das Zertifikat die verbleibende Lücke in einem Vertrauensnetz, indem es sicherstellt, dass der Beziehung zwischen einer Entität (d. h. einer Person oder einem Gerät) und einem öffentlichen Schlüssel vertraut werden kann. Nachdem ein Zertifikat in einem genau definierten Verfahren von einer übergeordneten Instanz ausgestellt wurde, durchläuft es einen Lebenszyklus, der von der Veröffentlichung über eine öffentliche Listung bis zum Ablauf der Gültigkeitsdauer reicht. Die Registrierung und der Widerruf von Zertifikaten können von speziellen Komponenten der PKI verwaltet werden.
Betont wurde, dass die Spezifikation des PKI-Systems, d. h. die technischen Details und Algorithmen, alleine nicht ausreichen, um das Vertrauen in den Betrieb des Netzes zu gewährleisten. Ebenso wichtig sei es, dass die Anforderungen und Prozesse für den Betrieb in der Certificate Policy (CP) und im Certification Practice Statement (CPS) genau definiert werden. Die CP macht allgemeine Anforderungen z. B. über Rechte und Rollen oder Schlüsselerneuerungsverfahren öffentlich, so dass jeder Benutzer das Sicherheitsniveau der PKI einschätzen kann. Das CPS dokumentiert dagegen detailliert, wie die Anforderungen des CP erfüllt werden, und bleibt daher im Allgemeinen unter Verschluss. Abschließend unterstrich Nils Abeling, wie wichtig es ist, die Anwendungsfälle, die Umgebung und die Technologie des Netzes zu verstehen, bevor eine PKI definiert werden kann. Nur so kann designseitig eine hohe Cybersicherheit erreicht werden.
Zweite Präsentation
Wenn die Grundstruktur eines Kommunikationsnetzes verstanden und durch eine PKI definiert ist, bleibt noch die Bewertung der Cybersicherheit auf technischer Ebene. Im zweiten Vortrag stellte Dr. Jörg Schepers von Infineon vor, wie verschiedene Angriffsvektoren auf unterschiedlichen Ebenen der Software und Hardware unterschiedliche Gegenmaßnahmen erfordern.
Da die Angriffe von High-Level-Angriffen auf die Software bis hin zur Dekonstruktion einer Hardware reichen, ist es notwendig, die Sicherheit für jede Anwendung von Anfang an sowohl in der Hardware als auch in der Software zu verankern. Beispiele hierfür sind mehrere parallele Kanäle auf Cybersicherheitssatelliten (Cyber Security Satellites, CSS) und Echtzeitmodulen, die so gehärtet sind, dass sie als vertrauenswürdige sichere Hardwareumgebung fungieren. Zu beachten ist, dass nicht für jedes einzelne Gerät ein Höchstmaß an Sicherheit implementiert werden muss. Dies ist nicht nur durch die Leistungsgrenzen bedingt, sondern auch durch die hohen Produktionskosten. Eingebettete Hardwaresicherheit kann eine solide Grundlage für eine ausgewogene Sicherheitsarchitektur mit angemessenen Sicherheitsniveaus für jedes Gerät bilden. Dies muss dann mit geeigneten Sicherheitsmaßnahmen in der Software abgestimmt werden, z. B. für sichere Over-the-air-Softwareupdates.
Dritte Präsentation
Im dritten Vortrag des Workshops erläuterte Nico Vinzenz von ZF, wie die Soft- und Hardware nicht nur vor der Produktion, sondern während der gesamten Lebensdauer im Feld geprüft und validiert werden kann.
Das technische Verfahren folgt in der Regel dem V-Modell und beginnt mit einer Bedrohungsanalyse und Risikobewertung (TARA). Nachdem das Requirements Engineering abgeschlossen ist, wird ein gründlicher Prüfplan festgelegt, um nach Schwachstellen in der Cybersicherheit zu suchen. Dies reicht von Funktionstests und Schwachstellenscans bis hin zu Penetrationstests. Die grundsätzliche Herausforderung besteht darin, dass das beabsichtigte Verhalten einer Funktion oder eines Teils einer Software nicht immer dem implementierten Verhalten entspricht. Zudem ist es wesentlich einfacher, die planmäßige Ausführung einer Funktion mit positiven Testfällen zu prüfen („Testen gegen das ‚Bekannte‘“), als ein unerwünschtes Verhalten zu erkennen, das von Angreifern ausgenutzt werden könnte („Testen gegen das ‚Unbekannte‘“). Ein wichtiges Hilfsmittel zur Bewältigung dieses Problems ist Fuzz-Testing, bei dem bösartige oder künstlich generierte Eingangsdaten an die Software geschickt werden. Durch die gleichzeitige Überwachung der Ausgangsdaten entsteht so eine Rückkopplungsschleife. Dieses Verfahren kann durch die Berücksichtigung von Teilen des Quelltextes weiter verfeinert werden. Die Ergebnisse des Fuzz-Testings können dazu dienen, die ursprüngliche Bedrohungsanalyse oder andere Aspekte der Prüfstrategie zu verbessern. Dadurch wird der Werkzeugkasten eines jeden Testers durch eine hochleistungsfähige Methode ergänzt.
Die Sicherheit von Software und Hardware wird immer wichtiger, weshalb Software stets aktuell gehalten werden muss. Autos haben jedoch nach wie vor einen Lebenszyklus von mehr als 10 Jahren. Wie können die entsprechenden Steuergeräte dauerhaft mit den erforderlichen Updates versorgt werden?
Jörg Schepert (infineon): Sichere Over-the-air-Softwareupdates sind bereits heute Standard. Eine leistungsfähige und flexible Hardware-Architektur muss allerdings genügend Spielraum für künftige Algorithmen und Schlüssellängen bieten, die in den nächsten Jahren bei Bedarf implementiert werden können.
Wie lässt sich veraltete Hardware aktualisieren? Ist „Hardware durch Software“ eine mögliche Lösung?
Jörg Schepert (infineon): Hardware kann nicht so einfach im Feld aktualisiert werden. FPGAs würden Over-the-air-Updates zwar möglich machen, sind aber extrem kostspielig und in ihren Möglichkeiten begrenzt. Daher sollten zukünftige Hardware-Anforderungen gleich zu Beginn antizipiert und eine flexible Architektur definiert werden, um später mit Software-Updates auf Algorithmusebene reagieren zu können.
Wie lässt sich das erforderliche Sicherheitsniveau eines Geräts „messen“?
Jörg Schepert (infineon): Zur Ermittlung eines angemessenen Sicherheitsniveaus können die Empfehlungen der ISO 21434 herangezogen werden. Sobald ermittelt wurde, was zu schützen ist, kann eine Risiko- und Schwachstellenanalyse durchgeführt werden. Ein temporärer Schlüssel benötigt beispielsweise nicht dasselbe Sicherheitsniveau wie ein privater Schlüssel für ein PKI-System, mit dem ein Auto gegenüber der Außenwelt identifiziert wird. Auf Grundlage dieser Bewertung kann die gesamte Sicherheitsarchitektur definiert werden, um für jede Komponente das richtige Sicherheitsniveau zu gewährleisten.
Wie erreicht man eine kryptoagile PKI, d. h. eine PKI, die mit Post-Quanten-Algorithmen gegen die Bedrohung durch leistungsstarke Quantencomputer gehärtet ist?
Nico Vinzenz (ZF): Beim Entwurf einer PKI ist es wichtig, ein Migrationskonzept zu definieren. Dieses muss die Verfahren enthalten, das definiert, wann und wie die gesamte PKI zu einer sicheren Post-Quanten-PKI übergehen kann. So arbeitet etwa das National Institute for Standards and Technology (NIST) an der Standardisierung von Post-Quanten-Algorithmen und -Verfahren, die in Zukunft eingesetzt werden können.
Wie wende ich Sicherheitsprüfverfahren auf ein Produkt an, das sich in der Nachentwicklungsphase befindet und bereits im praktischen Einsatz ist?
Nico Vinzenz (ZF): Hierfür eignet sich ein gesondertes Red Team. Das Red Team übernimmt die Rolle eines Angreifers, kann jedoch unternehmensinterne Dokumentation verwenden, um in das Produkt einzudringen. Wenn etwas festgestellt wird, werden die Erkenntnisse an das PSIRT (Product Security Incident Response Team) weitergeleitet.
Was halten Sie von Bug-Bounty-Programmen?
Nico Vinzenz (ZF): Ich finde solche Programme gut, da sie die verantwortungsvolle Aufdeckung von Sicherheitslücken durch Forschung und Ethical Hacker fördern.
Schreiben Sie uns und wir melden uns schnellstmöglich bei Ihnen!
